---

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології

МЕТОДИ ЗАХИСТУ
СИСТЕМИ УПРАВЛІННЯ
ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

В

БЗ № 2-2011/275

имоги
(ISO/IEC 27001:2005, IDT)

ДСТУ ISO/IEC 27001:2010

Видання офіційне

Київ
ДЕРЖСПОЖИВСТАНДАРТ УКРАЇНИ
2014

ПЕРЕДМОВА

1. ВНЕСЕНО Науково-дослідний інститут системних досліджень НАН України, Технічний комітет стандарти; аідії «Інформаційні технології» (ТК 20)

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: С. Морозов (науковий керівник), В. Орлова, О. Поліщу<

2. НАДАНО Ч ИННОСТІ: наказ Держспоживстандарту України від 28 грудня 2010 р. № 631 з 2012-07-01 До національного стандарту прийнято поправку, опубліковану в Інформаційному покажчику «Стандарт/і» № 11-2013

ЗНаціоналыйй стандарт відповідає ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems — Requirements (Інформаційні техно­логії. Методи захисту. Системи управління інформаційною безпекою. Вимоги)

Ступінь відповідності — ідентичний (IDT)

Переклад англійської (еп)

4 УВЕДЕНО ВПЕРШЕЗМІСТ

с.

Національний вступ V

0 Вступ до ISO/IEC 27001:2005 VI

0.1 Загальні положення VI

0.2 Прецесійний підхід VI

0.3 Сумісність з іншими системами управління VII

1. Сфера застосування 1

   1. Загальні положення 1

   2. Застосування 1

2. Нормативні посилання 2

3. Терміни та визначення понять 2

4. Система управління інформаційною безпекою З

   1. Загальні вимоги З

   2. Розроблення та управління СУІБ З

      1. Розроблення СУІБ З

      2. Впровадження та функціювання СУІБ 5

      3. Моніторинг та аналізування СУІБ 5

      4. Підтримка та поліпшення СУІБ 6

   3. Вимоги до документації 6

      1. Загальні положення 6

      2. Управління документами 6

      3. Уаравління записами 7

5. Відповідальність керівництва 7

   1. Зобов'язання керівництва 7

   2. Управління ресурсами 7

      1. Забезпечення ресурсами 7

      2. Навчання, обізнаність і компетентність 8

6. Внутрішні .аудити СУІБ 8

7. Аналізування СУІБ з боку керівництва 8

   1. Загальні положення 8

   2. Вхідні дані для перегляду 8

   3. Вихідні дані для перегляду 9

8. Поліпшення СУІБ 9

   1. Постійне поліпшення 9

   2. Коригувальні дії 9

   3. Запоб жні дії 9

Додаток А Цілі та заходи управління 10

Додаток В Принципи Організації економічної співпраці та розвитку і цей стандарт 23

Додаток С Порівняння структури цього стандарту зі структурами міжнародних стандартів ISO 9001:2000 та ISO 14001:2004 24

Бібліографі? 25НАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт є тотожний переклад ISO/IEC 27001:2005 Information technology — Security techniques -- Information security management systems — Requirements (Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги).

Технічгий комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технології».

Цей стандарт можуть застосовувати організації усіх типів (комерційні підприємства, дер­жавні устаюви, некомерційні організації), які мають на меті розроблення та впровадження системи управління інформаційною безпекою (СУІБ) в організації.

До стандарту внесено такі редакційні зміни:

• слова «цей міжнародний стандарт» замінено на «цей стандарт»;

• у рсзділі 2 та «Бібліографії» наведено «Національні пояснення», виділені рамкою;

• структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», перлу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

• під час перекладу оригіналу ISO/IEC 27001:2005 перед розділом 1 вилучено довідковий абзац «Важливо».

В Україні чинні стандарти, згармонізовані методом тотожного перекладу, посилання на які є в оригінаї і тексту ISO/IEC 27001:2005, а саме:

ДСТУ ISO 9001:2009 Система управління якістю. Вимоги (ISO 9001:2008, IDT)

ДСТУ ISO 9004-2001 Система управління якістю. Настанови щодо поліпшення діяльності (ISO 9004:2 )00, IDT)

ДСТУ ISO/IEC TR 13335-1:2003 Інформаційні технології. Настанови з керування безпекою інфор­маційних те>нологій (IT). Частина 1. Концепції та моделі безпеки IT (ISO/IEC TR 13335-1:1996, IDT);

ДСТУ ISO/IEC TR 13335-3:2003 Інформаційні технології. Настанови з керування безпекою інфор­маційних те>нологій (IT). Частина 3. Методи керування захистом IT (ISO/IEC TR 13335-3:1998, IDT);

ДСТУ ISO/IEC TR 13335-4:2005 Інформаційні технології. Настанови з управління безпекою інформаційних технологій. Частина 4. Вибирання засобів захисту (ISO/IEC TR 13335-4:2000, IDT);

ДСТУ ISO 19011:2003 Настанови щодо здійснення аудитів систем управління якістю і (або) екологічногс управління (ISO 19011:2002, IDT);

ДСТУ ISO 14001:2006 Системи екологічного керування. Вимоги та настанови щодо засто­сування (ISO 14001:2004, IDT).

Решту стандартів, на які є посилання в цьому тексті, в Україні не впроваджено і чинних документів .замість них немає.

Копії не рмативних документів, наведених у розділі «Бібліографія», можна замовити в Го­ловному фонді нормативних документів.0 ВСТУП до ISO/IEC 27001:2005

0.1 ЗагЕльні положення

Цей стандарт підготовлено як модель для розроблення, впровадження, експлуатування, забезпеченні функціювання, моніторингу, аналізу, підтримування та поліпшення системи управ­ління інформаційною безпекою (СУІБ). Прийняття СУІБ є стратегічним рішенням організації. На проектування та впровадження СУІБ організації впливають її потреби, цілі, вимоги щодо без­пеки, застосовувані процеси, а також масштаб діяльності та структура організації. Передба­чається, що зазначені вище чинники, а також системи, що їх підтримують, будуть змінюватися з часом. Передбачено також, що СУІБ буде змінюватися пропорційно потребам організації, на­приклад: для простої ситуації буде потрібно просте рішення реалізації СУІБ.

Положення цього стандарту можуть бути використані як усередині організації, так і зовніш­німи організаціями для оцінювання відповідності.

0.2 Прецесійний підхід

Цей стандарт передбачає використання прецесійного підходу для розроблення, впровад­ження, забезпечення функціювання, моніторингу, аналізування, підтримування та поліпшення СУІБ організації.

Для ефективного функціювання організація повинна визначити численні взаємопов’язані види діяльності і управляти ними. Будь-яку діяльність, що використовує ресурси та керовану для перетворення входів у виходи, можна розглядати як процес. Часто вихід одного процесу безпосередньо формує вхід для наступного процесу.

Під «прецесійним підходом» розуміють застосування в межах організації системи процесів разом з їх визначенням та взаємодією, а також управління ними.

Згідно із запропонованим цим стандартом прецесійним підходом стосовно управління інфор­маційною безпекою особливе значення для користувачів мають такі чинники:

1. розуміння вимог до інформаційної безпеки організації та необхідності встановлення політики та цілей інформаційної безпеки;

2. впровадження та застосування заходів управління ризиками інформаційної безпеки се­ред загальних бізнес-ризиків організації;

3. моніторинг і перевірка продуктивності та ефективності СУІБ;

4. безперервне удосконалення СУІБ, засноване на результатах об’єктивних вимірювань.

У цьому стандарті подано модель «Плануй» (Plan), «Виконуй» (Do), «Перевіряй» (Check), «Дій» (Act) (PDCA), яку може бути застосовано у разі структуризації всіх процесів СУІБ.

На рисучку 1 показано, як СУІБ, використовуючи як вхідні дані вимоги інформаційної без­пеки та очікувані результати зацікавлених сторін, за допомогою необхідних дій і процесів видає вихідні дані за результатами забезпечення інформаційної безпеки, які відповідають цим вимо­гам і очікуваним результатам.

Рисунок 1 ілюструє також зв’язки між процесами, які описано в розділах 4—8.

Прийняття моделі PDCA також відображає принципи, встановлені в Директивах Організації економічної співпраці і розвитку (ОЕСР) та призначені для управління безпекою інформацій­них систем та мереж. Цей стандарт подає наочну модель для реалізації на практиці наведе­них вище принципів, які дозволяють здійснити оцінювання ризиків, проектування та реаліза­цію системи інформаційної безпеки, її управління та переоцінювання.

Приклад 1.

Вимога може полягати в тому, щоб порушення інформаційної безпеки не призводили до значного фінансового збитку для організації та/чи до істотних ускладнень в її діяльності.

Приклад 2.

Очікуваним результатом може бути наявність потреби в організації компетентних співробіт­ників для проведення процедур, які дозволять мінімізувати можливі несприятливі наслідки в разі серйозного інциденту, наприклад несанкціонованого проникнення (атаки хакерів) на веб-сайт організації, через який вона здійснює електронну торгівлю.

Зацікавлені сторони

Вимоги та очікувані результати в області інформацію ної безпеки

Зацікавлені сторони

Керована інформацій­на безпека

Перевіряй

Плануй

Виконуй

Дій

Рисунок 1 — PDCA модель, застосована до процесів СУІБ

Зв’язки між процесами, описаними в розділах 4—8, наведено також у таблиці.

0.3 Сумісність з іншими системами управління

Цей стандарт узгоджено з ISO 9001:2000 «Системи управління якістю. Вимоги» та ISO 14001'.2004 «Системи екологічного керування. Вимоги та настанови щодо застосування» для підтримки послідовного інтегрованого впровадження та взаємодії з іншими подібними стандар­тами у сфері управління. Отже, одна правильно побудована система управління в організації може задовольняти вимоги всіх цих стандартів.

Таблиц? С.1 ілюструє взаємозв'язок між розділами цього стандарту та розділами ISO 9001:2000 та ISO 14001:2004.

Цей стандарт дає змогу організації регулювати СУІБ або інтегрувати її з відповідними вимо­гами інших систем управління.ДСТУІБО/ІЕС 27001:2010

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ

МЕТОДИ ЗАХИСТУ
СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

Вимоги

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

МЕТОДЫ ЗАЩИТЫ

СИСТЕЇМЬІ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Требования

INFORMATION TECHNOLOGY

SECURITY TECHNIQUES
INFORMATION SECURITY MANAGEMENT SYSTEMS

Requirements

Чинний від 2012-07-01

1. СФЕРА ЗАСТОСУВАННЯ

   1. Загальні положення

Цей стандарт призначено для застосування організаціями будь-якої форми власності (комер­ційними підприємствами, державними установами, неприбутковими організаціями). Цей стандарт установлює вимоги до розроблення, впровадження, забезпечення функціювання, моніторингу, ана­лізу, підтримки, поліпшення документованої системи управління інформаційною безпекою (СУІБ) у контексті загальних бізнес-ризиків організації. Крім цього, стандарт установлює вимоги щодо впро­вадження заходів управління інформаційною безпекою та її контролювання, які можуть застосову­вати організації або їхні підрозділи відповідно до встановлених цілей та задач забезпечення інфор­маційної безпеки.

Метою розроблення СУІБ є вибір і застосування відповідних заходів управління безпекою, призначени< для захисту інформаційних активів і які гарантують довіру зацікавлених сторін.

Примітка 1. Посилання на термін «бізнес» (business) у цьому стандарті треба широко інтерпретувати, маючи на увазі ті види діяльності, які є основними для цілей існування організації.

Приміткг 2. В ISO/IEC 17799 надано настанови щодо реалізації, підтримки заходів управління.

Усі виіу оги цього стандарту загальні та призначені для застосування всіма організаціями незалежно від типу, розміру та сфери їхньої діяльності. Вилучення будь-якої з вимог, визначених у розділах <—8, не допускається, якщо організація заявляє щодо відповідності її СУІБ вимогам цього стандарту.

Будь-яка відмова від застосування того чи іншого заходу управління, обумовлена необхід­ністю задоволення критеріїв прийняття ризиків, повинна бути обґрунтована. Необхідна також на­явність адекватних доказів того, що подібні ризики були вже прийняті відповідальними особами.

Видання офіційне

У разі вилучення будь-яких заходів управління декларування про відповідність організації цьому стан­дарту неприйнятне, крім випадків, коли такі винятки не впливають негативно на здатність і/чи обов’я­зок організації забезпечити інформаційну безпеку, яка відповідає вимогам щодо безпеки, встановленим відповідними законодавчими та нормативними актами або визначеними на основі оцінок ризиків.